Websecurity - Веб безпека

08.04.2007

Вчора, 07.04.2007, я знайшов Cross-Site Scripting (XSRF + XSS) уразливості на популярному порталі http://myspace.com. Про що найближчим часом сповіщу адміністрацію порталу.

Також учора я вислав деталі про ці уразливості організаторам проекту Місяць багів в MySpace. Тому, у проекта MOMB з’явилися нові кандидати в баги Майспейса . Таким чином я вніс свій внесок в дану акцію.

Детальна інформація про уразливості з’явиться пізніше.

19.04.2007

XSS:

POST запит в полях Password та Confirm Password на сторінці http://signup.myspace.com/index.cfm?fuseaction=comedianJoin:
"><script>alert(document.cookie)</script>

Дані уразливість досі не виправлені.

Для цих уразливостей я також приготував PoC/Exploit: MySpace_XSS_exploit

Також інформація про дану уразливість була оприлюднена на вісімнадцятий день Місяця багів в MySpace. Організаторам даної акції я раніше вислав деталі про дані дірки.

This entry was posted on 20:45 19.04.2007 and is filed under Уразливості, Експлоіти. You can follow any responses to this entry through the RSS 2.0 feed.